Google identifica campanha de ataques norte-coreanos que tem investigadores de cibersegurança na “mira”

Ao longo dos últimos meses, o Threat Analysis Group da Google identificou uma campanha de ciberataques que tem como “alvo” investigadores de cibersegurança a trabalhar na área de pesquisa de vulnerabilidades.

A gigante de Mountain View explica que os atacantes, que são apoiados pelo governo da Coreia do Norte, estão a usar várias táticas para tentar ganhar a confiança das vítimas, incluindo a criação de blogs e perfis de Twitter falsos onde publicam as suas supostas descobertas.

Os blogs dos atacantes contêm artigos sobre vulnerabilidades que já foram publicamente divulgadas, além de algumas publicações de investigadores de segurança legítimos, que muito provavelmente não sabiam com quem estavam a lidar.

Através das suas contas no Twitter, os hackers publicam vídeos onde exploram múltiplas falhas de segurança. A Google indica que, embora não consiga verificar a autenticidade de todos os conteúdos publicados, há pelo menos um caso de um vídeo onde o resultado final foi simulado.

Os atores maliciosos recorrem também a táticas de engenharia social para atacar investigadores de segurança específicos. Depois de estabelecerem contacto, os atacantes perguntam-lhes se gostariam de colaborar prontificando-se a disponibilizar um projeto de pesquisa de vulnerabilidades, o qual conta com malware escondido para afetar os equipamentos das vítimas.

Além disso, o Threat Analysis Group indica que observou vários casos em que os equipamentos dos investigadores foram infetados com malware logo após visitarem os blogs dos atacantes.

Os cibercriminosos usam várias plataformas online para comunicar com potenciais “alvos”, incluindo o Twitter, LinkedIn, Telegram, Discord, Keybase, assim como por correio eletrónico. Para ajudar os investigadores mais preocupados a manterem-se mais bem informados, a Google dá também a conhecer algumas das contas falsas usadas pelos atacantes.